インストールサービスを作成するときにこれを構成するには、installadm create-service コマンドを使用します。詳細は、インストールサービスを作成する方法を参照してください。既存のインストールサービスを再構成するには、installadm set-service コマンドを使用します。このセクションでは、インストールサービスのセキュリティーポリシーを設定する方法について説明します。
各インストールサービスには 1 つのセキュリティーポリシーセットがあります。次の選択が可能です。
AI クライアントの識別情報を確認します。指定されたサービスのすべての AI クライアントにクライアントおよびサーバー認証が必要です。このオプションでは暗号化も必要です。
サービスのすべての AI クライアントに、クライアント認証での認証が必要になります。指定されたサービスのすべての AI クライアントに資格証明が割り当てられている必要があり、このサービスのすべての SPARC クライアントに OBP 鍵が定義されている必要があります。クライアント認証用に構成されていないサービスの AI クライアントはこのインストールサービスを使用できません。
AI サーバーの識別情報を確認します。指定されたサービスのすべての AI クライアントでサーバー認証を実行する必要があります。このオプションでは暗号化も必要です。
指定されたインストールサービスにアクセスするための AI サーバー認証が最低限必要です。クライアント認証はオプションですが、割り当て済みクライアント資格または帰属済みクライアント資格を提供する必要があります。このサービスのすべての SPARC クライアントの OBP 鍵を定義する必要があります。
認証された AI クライアントと認証されていない AI クライアントの両方が、インストールサービスにアクセスできるようにします。AI サーバーが資格証明を持つ場合、このオプションでは暗号化も必要です。これはデフォルトの動作です。
割り当て済みクライアント資格を提供する必要があります。割り当て済み資格証明または属性資格証明を持たない AI クライアントは、OBP 鍵またはサーバー認証を使用しません。サーバー認証は、クライアント認証用に構成された AI クライアントでのみ提供されます。
x86 クライアントのみ: 認証を必要としない SSL/TLS のエンドツーエンドの暗号化を有効にします。認証がないため、AI クライアントと AI サーバーの識別情報は保証されません。移動中のデータを第三者がネットワーク上で読み取ることはできません。
指定されたサービスのすべての AI クライアントのすべてのセキュリティーを無効にします。
このサービスのクライアントは認証されません。資格証明は発行されません。このサービスのクライアントは、Web サーバーのユーザーファイルディレクトリの構成に記載されている webserver_secure_files_dir ディレクトリにアクセスできません。この設定は、慎重に使用してください。認証によって以前保護されていたすべてのインストールサービスファイルが保護されなくなります。クライアントデータは、望ましくないアクセスからセキュリティー保護されません。認証を再度有効にするには、別のセキュリティーポリシーの値を使用して、set-service サブコマンドを再指定してください。
この例は、インストールサービスを使用するためにサーバー認証が必要なセキュリティー設定を指定します。指定されたサービスの AI クライアントに対して AI サーバーの認証を最低限求めるには、require-server-auth インストールサービスセキュリティー設定を使用します。
# installadm set-service -p require-server-auth -n install-service使用例 32 x86: インストール時の暗号化の要求
この例では、暗号化を使用するが認証を必要としないセキュリティー設定を指定します。x86 クライアントについて、特定のインストールサービスについてのデータ転送を保護するが、クライアント認証またはサーバー認証を必要としない場合に、encr-only セキュリティー設定を使用します。サーバー証明書はやはり必要です。データはネットワーク上のスヌーピングから保護されますが、AI サーバーは、サーバーへの適切な要求を発行したすべての AI クライアントに対してデータを提供します。
# installadm set-service -p encr-only -n install-service